กสทช. เรียก AWN ชี้แจงกรณี ข้อมูลการใช้บริการบนเครือข่าย AIS ของผู้ใช้ 8,000 ล้านรายการรั่วไหล

สำนักงาน กสทช. เรียก AWN ชี้แจงกรณีที่ปรากฏเป็นข่าวบนสื่อออนไลน์ว่าข้อมูลการใช้บริการบนเครือข่าย AIS หลุด บริษัทรับว่าข้อมูลที่เป็นข่าวเป็นข้อมูลที่บริษัทฯ สุ่มมาใช้ศึกษาพฤติกรรมของผู้ใช้ เพื่อนำเอาข้อมูลมาพัฒนาการให้บริการให้ดีที่สุด ข้อมูลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคลของผู้ใช้บริการ และไม่ใช่ข้อมูลที่เกี่ยวกับการทำธุรกรรมทางอิเล็กทรอนิกส์ เป็นแค่แอดเดรสของเว็บไซต์ที่กลุ่มตัวอย่างเข้าถึงข้อมูลทางอินเทอร์เน็ตเท่านั้น ไม่สามารถระบุถึงเจ้าของข้อมูลได้ พร้อมย้ำให้บริษัทให้ความสำคัญกับเรื่อง Cyber Security ให้พนักงานตระหนักในความสำคัญของมาตรการรักษาความปลอดภัยของข้อมูลผู้ใช้บริการ

คุณสุทธิศักดิ์ ตันตะโยธิน รองเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (รองเลขาธิการ กสทช.) เปิดเผยว่า วันนี้ (26 พ.ค. 2563) สำนักงาน กสทช. เรียกบริษัท บริษัท แอดวานซ์ ไวร์เลส เน็ทเวิร์ค จำกัด หรือ AWN เข้ามาชี้แจงกรณีที่ปรากฏข่าวบนสื่อออนไลน์ว่า พบข้อมูลการใช้อินเทอร์เน็ตบนเครือข่าย AIS รั่วกว่า 8 พันล้านรายการ โดยสำนักงานฯ มองว่าเป็นเรื่องที่เกี่ยวพันกับการกำกับดูแลข้อมูลส่วนบุคคล และไซเบอร์ซีเคียวริตี้ ซึ่งหลายฝ่ายก็เป็นห่วงว่าจะส่งผลกระทบต่อผู้ใช้บริการ จึงเรียก AWN มาชี้แจงข้อเท็จจริงในเรื่องดังกล่าว โดย AWN ชี้แจงข้อเท็จจริงว่า บริษัทฯ ได้ทำการพัฒนาระบบสำหรับการให้บริการ โดยการสุ่มตัวอย่างข้อมูลบางส่วนในช่วงเวลาหนึ่งมาทดลอง โดยดึงข้อมูลมาไว้ในเซิร์ฟเวอร์เฉพาะที่แยกออกจากระบบจริงของบริษัท (actual system) ซึ่งข้อมูลดังกล่าวไม่สามารถนำไประบุตัวตนความเป็นเจ้าของข้อมูล (PII, Personal Identification Information) ไม่มีข้อมูลของเลขหมาย หรือข้อมูลเกี่ยวกับธุรกรรมทางการเงิน เป็นเพียงข้อมูลที่นำมาวิเคราะห์ปรับปรุงการให้บริการ ในช่วงสถานการณ์ โควิด-19 ที่มีผู้ใช้บริการข้อมูล (Data) เพิ่มขึ้นสูงมาก

คุณสุทธิศักดิ์ กล่าวว่า AWN ยืนยันว่าข้อมูลดังกล่าวไม่มีข้อมูลของ User ไม่มีข้อมูลส่วนบุคคล มีเพียงเส้นทางของทราฟฟิกเท่านั้น ซึ่งไม่รู้ว่าต้นทางเป็นใคร ไม่มีข้อมูลธุรกรรมต่างๆ แต่เป็นการดึงข้อมูลมาเพื่อทำการศึกษาพฤติกรรมการใช้งานในภาพรวมว่า ในช่วงเวลาดังกล่าว มีคนเข้าไปในเว็บไหน ติดตามข้อมูลข่าวสารจากไหน โดยเป็นการทดสอบระบบ DNS เพื่อดูเรื่องการให้บริการเท่านั้น เพียงแต่ข้อผิดพลาดที่เกิดขึ้นเนื่องจากพนักงานคิดว่าเป็นระบบทดสอบ จึงขาดความระมัดระวัง บริษัทฯ ได้น้อมรับว่ามีความผิดพลาดในการจัดตั้งระบบทดสอบขึ้นมาจริง 

รองเลขาธิการ กสทช. กล่าวว่า สำนักงานฯ ได้สอบถาม AWN เกี่ยวกับมาตรการด้าน Cyber Security ของบริษัทฯ ว่าเป็นอย่างไร บริษัทฯ ยืนยันว่า มีขั้นตอนมาตรการที่รัดกุม แต่เจ้าหน้าที่ยังขาดความตระหนักถึงความสำคัญ ทำให้เกิดกรณีนี้ขึ้นมา สำหรับพนักงานที่ประมาทเลินเล่อ บริษัทจะดำเนินการลงโทษพนักงานเพื่อให้เกิดมีความตระหนักในเรื่อง Cyber Security ให้มากขึ้น ในแง่ของการบริหารข้อมูล AWN ยังยืนยันว่าบริษัทยังล็อกไว้อีกชั้นหนึ่ง ข้อมูลส่วนบุคคลของลูกค้าจะไม่สามารถหลุดลอดออกไปได้

“สำนักงาน กสทช. จะทำหนังสือเตือนบริษัทฯ เป็นทางการออกไป เพื่อย้ำให้ AWN ให้ความสำคัญกับเรื่อง Cyber Security ให้พนักงานตระหนักในความสำคัญของมาตรการรักษาความปลอดภัยของข้อมูลผู้ใช้บริการ บริษัท ไม่ควรดำเนินการหรือทดสอบโดยความละเลยเช่นนี้อีก และควรจะต้องระมัดระวังในการดำเนินการเรื่อง Cyber Security และให้เชื่อมโยงข้อมูล